CryptoTimes

Provas de conhecimento zero: um divisor de águas para a segurança de dados do cliente

29 nov 2019, 15:52 - atualizado em 31 maio 2020, 12:50
Saber se uma informação é verdadeira ou falsa ainda é uma questão a ser resolvida no mundo on-line (Imagem: Pixabay)

Em geral, as empresas não querem coletar e armazenar os dados dos consumidores: eles são obrigados. No entanto, avanços nas soluções de identidade autossoberana como a “prova de conhecimento zero” mostram que, em breve, não terão que fazer isso.

A verificação de identidade impõe um desafio para as empresas. Confirmar que os consumidores são de fato quem dizem ser ao implementar processos de KYC (identificação de clientes) de uma forma aceitável para atender seus clientes, limitar fraude e cumprir com as regulações antilavagem de dinheiro.

Ao mesmo tempo, a coleta de informação identificável pessoal cria dores de cabeça já que leis como a GDPR (Lei Geral de Proteção de Dados) estão entrando em vigor. Além disso, fortes configurações de dados pessoais são um alvo para hackers e aumentam o risco comercial.

A solução para esses desafios deve conter uma abordagem contraintuitiva: parar de coletar informações. De forma significativa, tanto o conceito Privacy by Design (“privacidade desde o início”) como a lei GDPR estão impulsionando a minimalização de dados.

Sistemas de identidade digital baseados em blockchain, que utilizam uma técnica chamada “prova de conhecimento zero” permitem que as empresas verifiquem informações sobre um cliente sem receber essa informação.

Com a prova de conhecimento zero, empresas podem minimizar a coleta de dados pessoais e reduzir tanto o fardo e os riscos criados pelo armazenamento de dados pessoais.

CONTINUA DEPOIS DA PUBLICIDADE
Nunca se sabe quem irá ter acesso aos dados pessoais quando houver um ataque ao sistema de uma empresa (Imagem: Pixabay)

O perigo da coleta de dados pessoais

Considere o caso da empresa de telefonia tailandesa iTruemart que, em 2018, teve milhares de cópias escaneadas cartões de identidade dos clientes, carteiras de habilitação e passaportes armazenados em um servidor on-line não seguro, com acesso praticamente disponível para qualquer pessoa.

A empresa só ficou sabendo desse erro por conta do “hacker do bem” (“white hat hacker”) e consultor de segurança de software Niall Merrigan. “Não havia segurança alguma para proteger os arquivos”, ele disse. A brecha só foi fechada depois que a mídia teve conhecimento do ocorrido, mesmo com o aviso de Merrigan à empresa.

É verdade que melhores medidas de segurança poderiam ter protegido os clientes da iTruemart, mas também é verdade que a única forma garantida de evitar o roubo de dados é a de não ter nenhum dado armazenado.

A prova de conhecimento zero ajudaria na minimalização da coleta de dados e também na segurança das informações pessoais dos clientes (Imagem: Pixabay)

Completo e íntegro, mas de conhecimento zero

Uma prova de conhecimento zero permite que uma parte (o “verificador”) confirme que algo sobre outra parte (o “comprovador”) é verdade sem saber qualquer outra informação sobre o “comprovador”.

Um vinhedo, por exemplo, precisa verificar que alguém é maior de idade para visitar seu website. Geralmente, sites desse tipo pedem a data de nascimento do visitante para calcular sua idade. É claro, não há como provar que os visitantes estão sendo sinceros.

Acima de tudo, o vinhedo coletou dados pessoais identificáveis e a maior parte das regulações de dados de privacidade evidenciam a necessidade dos gestores em ajustar novas políticas para armazenamento, proteção, utilização e exclusão de dados.

Além disso, os visitantes devem ter uma maneira de mudar, esconder ou deletar seus dados.

Na verdade, o vinhedo não precisa saber a data de nascimento nem a idade de seus visitantes. Tudo o que a empresa precisa é uma maneira de confiar na resposta dos visitantes ao perguntá-los: “você tem idade suficiente para acessar esse site?”.

Abaixo, os três aspectos do sistema de conhecimento zero que fornecem confiança em um processo quase livre de dados:

– completude: um verificador pode confiar que uma declaração honesta de um comprovador é verdadeira. Nosso vinhedo pode confiar nos visitantes que, de fato, são maiores de idade;

– integridade: um verificador vai saber quase sempre quando uma declaração desonesta de um comprovador for falsa. O vinhedo vai detectar uma mentira e confiar que o visitante é realmente um menor de idade;

– conhecimento zero: o comprovador pode confiar que o verificador não sabe nada além do fato de que a declaração é verdadeira. O vinhedo só sabe “sim” ou “não”, quando os visitantes são maiores de idade e podem acessar o site.

Algumas etapas são necessárias para que a prova de conhecimento zero seja amplamente aderida on-line (Imagem: Pixabay)

Como funciona a prova de conhecimento zero?

Para continuar a nossa analogia, digamos que o vinhedo está quase conectado a um sistema de identidade que verifica informações pessoais. Sob demanda, o sistema de identidade digital poderia transmitir a data de nascimento de uma forma criptografada e única chamada de “hash”.

Esse hash não pode ser alterado para reivindicar uma outra data de nascimento ou ser criptografada para mostrar a data de nascimento verdadeira.

Quando perguntados se “você tem mais de 18 anos?”, o sistema de identidade do visitante combina a resposta “sim” com o hash para calcular outro número chamado de “prova”. Vamos pular a parte matemática, mas essa prova pode ser a única resposta à pergunta do vinhedo.

O site do vinhedo recebe a prova, o “sim”. Mais algoritmos usam a prova e o “sim” para reverter o cálculo da prova. Quando o resultado é combinado com o hash, o vinhedo tem a confirmação necessária.

O visitante não tem tempo nem poder computacional para alterar os dados do sistema de identidade, permitindo que o vinhedo confie nos resultados. Ao mesmo tempo, os visitantes têm maior confiança no vinhedo, pois nunca coleta sua idade ou data de nascimento.

Quanto menos informações oferecidas, menor o risco de violação de dados pessoais (Imagem: Pixabay)

Prova de conhecimento zero minimiza dados pessoais

Sobretudo, o vinhedo talvez precise apenas registrar a resposta “sim”. Para estender nossa analogia à violação de dados da iTruesmart mencionada anteriormente, um sistema de verificação de identidade baseado em blockchain, usando a prova de conhecimento zero, eliminaria a necessidade de cópias escaneadas de identidade.

Empresas poderiam confiar na integridade das confirmações de identidade e sua procedência em fontes confiáveis. Em vez de registrar documentos de identidade, empresas poderiam aplicar o princípio da lei GDPR de minimalização de dados para registrar a verificação em si.

No processo, empresas reduziriam o fardo e os riscos de registrar o excesso de dados pessoais.

Finalmente, um sistema de prova de conhecimento, como as desenvolvidas pela Sphere Identity e outras, vão beneficiar as empresas que:

– precisarem verificar informações sem comprometer a privacidade dos clientes;

– forem focadas em minimizar o trabalho de armazenar dados pessoais de clientes;

– quiserem fornecer uma forma mais fácil e livre de formulários aos clientes para compartilhar informações verificadas.